Вы бредите, уважаемый?
Никак нет, несравненный.
MtGOX-ы писали, что хакеры получили возможность произвольно менять PHP-код сайта.
Это значит, что могли просто логгировать то, что передается в теге FORM методом POST при логине.
Тут все в открытом виде.
Хранение в базе - это уже позднее.
если их просто не существует в природе?
Во-первых, это не тот случай.
Во-вторых, даже если бы использовалась Digest-аутентификация, способ аутентификации можно и переконфигурировать на basic.
готов поклясться чем угодно, что мой ордер на 49BTC по $11 висел 2 недели, но исполнен не был
я верю, это может отдельно быть багой, не связанной со взломом форума. Гипотезе наличие этой второй баги никак не мешает.